DMARC (Domain-based Message Authentication, Reporting, and Conformance) — это механизм защиты домена от несанкционированного использования в электронной почте. Он связывает результаты проверок SPF и DKIM с конкретными инструкциями для принимающего сервера. Если письмо не проходит проверку подлинности, DMARC указывает, что с ним делать: оставить в папке «Входящие», отправить в спам или полностью отклонить.
Механизм работы
Протокол работает на основе DNS-записи типа TXT. В ней владелец домена указывает политику (тег p) и адрес для получения отчетов (тег rua). При получении письма сервер проверяет соответствие домена в заголовке From доменам, подтвержденным через SPF и DKIM. Если соответствия нет, применяется выбранная политика защиты.
DMARC решает проблему «спуфинга» — подделки адреса отправителя. Без него злоумышленник может отправить письмо от имени любого бренда, даже если у того настроены SPF и DKIM, так как принимающий сервер не знает, как реагировать на ошибки валидации. Использование строгой политики p=reject блокирует попытки прямой подделки домена на уровне почтового шлюза.
p=none: мониторинг трафика без блокировки сообщений;p=quarantine: подозрительные письма перемещаются в папку со спамом;p=reject: полная блокировка доставки недоверенных писем.